Networking

如何通過唯一的 IP 地址分隔 PCAP

  • August 10, 2016

我有一個小時長的 PCAP 文件,其中有大約 60 次單獨的網路攻擊在我們的測試網路上進行。每次攻擊都來自一個唯一的 IP 地址,該地址在一小時內未在其他地方使用。

我想從這個文件中製作 60 個 pcap,但也包括後台流量。

攻擊發生的時間沒有真正的模式(即第一分鐘可能有 6 個,然後接下來的 10 分鐘可能有 1 個)。

我可以分離成只擷取攻擊的文件,但我真的對那裡的後台流量也很感興趣。

為了澄清我需要這個的原因,我正在使用這些數據來嘗試訓練基於機器學習的網路感測器。

假設您在名為 的文件中擁有攻擊 IP 列表,在 中具有attack-ips原始轉儲capture.pcap,並且攻擊範圍為 1.0.0.0/24,則使用以下腳本tcpdump應完成此操作:

while read ATTACKIP; do
   tcpdump -n -r capture.pcap -w "$ATTACKIP.pcap" "host $ATTACKIP or not net 1.0.0.0/24"
done < attack-ips

過濾器選擇來自或來自攻擊 IP 的流量,或者既不來自也不來自攻擊範圍的流量(以排除所有其他攻擊 IP)。

您可以使用PcapSplitter,它是PcapPlusPlus軟體包的一部分。您可以使用此工具按客戶端 IP 拆分 pcap 文件,在您的情況下,您可能會得到 60 個文件,每個文件都包含一次攻擊。請按如下方式使用該工具:

PcapSpliter.exe -f <YOUR_PCAP> -m client-ip

你沒有提到你正在使用的作業系統,但是這個工具同時支持 Win32、Linux 和 Mac)

引用自:https://serverfault.com/questions/384625